我有一個在 LAN 上的網關層級運行的 Debian 伺服器。這會運行魷魚來創建網站的阻止清單 - 例如。封鎖 LAN 上的社交網路。也使用 iptables。
我可以用魷魚和 iptables 做很多事情,但有些事情似乎很難實現。
1) 如果我透過 http url 封鎖 facebook,人們仍然可以訪問https://www.facebook.com因為squid預設不通過https流量。但是,如果使用者在 Web 瀏覽器上將網關 IP 位址設定為代理,則 https 也會被封鎖。所以我可以做一件事 - 使用 iptables 刪除所有傳出的 443 流量,以便人們被迫在瀏覽器上設定代理才能瀏覽任何 HTTPS 流量。然而,有沒有更好的解決方案呢?
2)隨著squid中被阻止的url數量的增加,我計劃整合squidguard。然而,好的魷魚衛士清單並不是免費用於商業用途的。任何人都知道免費的好的魷魚衛士清單。
3) 阻止 yahoo Messenger、gtalk 等。您需要在 iptables 中刪除大量傳出連接埠。但是,會添加新端口,因此您必須不斷添加它們。即使您的連接埠清單是最新的,人們仍然可以使用 gtalk 等的網路版本。
4)阻止P2P。到目前為止還無法弄清楚如何做到這一點。
答案1
對於 1) 和 2),我認為你應該研究一下 OpenDNS。
對於 3) 和 4),請研究 snort 的內聯模式,或者如果您有網路和 Linux 經驗,您可以嘗試 PacketFence,我建議您使用 PacketFence(它的作用不僅僅是阻止 p2p)。
答案2
至於封鎖 P2P 流量,請查看 Packetfence。 linux.com 上有兩篇文章。一篇文章(http://www.linux.com/learn/tutorials/386610-install-packetfence-for-powerful-network-access-control)涉及設定 Packetfence 和另一個(http://www.linux.com/learn/tutorials/391433-block-unwanted-traffic-with-packetfence)處理阻止不需要的流量。